Cloud Computing Compliance Controls Catalog (C5)

ภาพรวม

Cloud Computing Compliance Controls Catalog (C5) คือโครงการรับรองที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนีซึ่งเปิดตัวในเยอรมนีโดยสำนักงานรัฐบาลกลางเพื่อการรักษาความปลอดภัยของข้อมูล (BSI) C5 ช่วยให้องค์กรแสดงถึงการรักษาความปลอดภัยในการปฏิบัติงานต่อการโจมตีทางไซเบอร์ทั่วไปเมื่อใช้บริการระบบคลาวด์ภายในบริบทของ "คำแนะนำด้านการรักษาความปลอดภัยสำหรับผู้ให้บริการระบบคลาวด์" ของรัฐบาลเยอรมนี

ลูกค้า AWS และที่ปรึกษาด้านการปฏิบัติตามข้อกำหนดสามารถใช้การรับประกัน C5 นี้ในการทำความเข้าใจการควบคุมการรักษาความปลอดภัยที่ AWS นำมาใช้เพื่อให้เป็นไปตามข้อกำหนด C5 เมื่อตนย้ายเวิร์กโหลดไปยังระบบคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมระบบคลาวด์แบบเฉพาะเพิ่มเข้ามา

C5 รวมข้อกำหนดการควบคุมเพิ่มเติมซึ่งเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร

• C5 คืออะไร

  C5 (Cloud Computing Compliance Controls Catalogue) เป็นมาตรฐาน “IT-Security ด้านการประมวลผลระบบคลาวด์” ในเยอรมนี ออกแบบและจำหน่ายโดย BSI ในเดือนกุมภาพันธ์ 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายปริมาณงานที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการ Cloud Computing Service เช่น AWS C5 ครอบคลุมมาตรฐานสากลต่อไปนี้:

  • ISO/IEC 27001:2017 (ISO – International Organization for Standardization)
  • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
  • Trusted Cloud Data Protection Profile (TCDP)  – เวอร์ชัน 1
  • ISO/IEC 27017:2015
  • ISO/IEC 27-18:2014
  • BSI IT-Grundschutz Kompendium – เวอร์ชันปี 2019
    

• ใครเป็นผู้สร้างมาตรฐาน C5

  สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมนี "Bundesamt für Sicherheit in der Informationstechnik (BSI)" ได้สร้างมาตรฐาน C5 ขึ้นในปี 2016 BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทในเยอรมนีส่วนใหญ่ปรับกลยุทธ์ด้าน IT-Security ของตนให้สอดคล้องกับมาตรฐาน BSI BSI ได้ดำเนินการปรับปรุงแก้ไขและอัปเดตแค็ตตาล็อก C5 ในปี 2019 เวอร์ชันใหม่ (C5:2020) แล้วเสร็จในเดือนมกราคม 2020 

• ลูกค้าได้ประโยชน์อะไรจากมาตรฐานนี้

  AWS ได้ทำการประเมินในปี 2021 เทียบกับโปรแกรมการรักษาความปลอดภัยสารสนเทศและการปฏิบัติตามข้อกำหนด C5 และรายงาน C5 พร้อมให้ดาวน์โหลดใน AWS Artifact ซึ่งครอบคลุมเกณฑ์พื้นฐานและเกณฑ์อื่นๆ เพิ่มเติมของ C5 รายงานการรับรอง AWS 2022 C5 จะพร้อมให้บริการในปลายปี 2022
  

  รายงาน C5 ให้การรับรองจากองค์กรอิสระภายนอกแก่ลูกค้าในยุโรปของเราเกี่ยวกับความเหมาะสมของการออกแบบและประสิทธิภาพในการดำเนินงานด้านการควบคุมของเรา เพื่อให้เป็นไปตามเกณฑ์พื้นฐานและเกณฑ์อื่นๆ เพิ่มเติมของ C5 โดยเฉพาะอย่างยิ่ง ลูกค้าในเยอรมนีคุ้นเคยกับการมองหาบริการระบบคลาวด์ที่ได้รับการประเมินตามเกณฑ์ C5 C5 จะมอบเฟรมเวิร์กที่เป็นบันทึกข้อมูลระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมประเด็นในทุกๆ ด้านของ IT-Security สำหรับการประมวลผลบนระบบคลาวด์ให้แก่ลูกค้า สำหรับหน่วยงานกำกับดูแลของรัฐบาลกลาง การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา
  

• รีเจี้ยนใดของ AWS ที่อยู่ในขอบเขตสำหรับ C5

  AWS Region ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต, ไอร์แลนด์, ลอนดอน, ปารีส, มิลาน, สตอกโฮล์ม และสิงคโปร์ รวมถึง Edge Location ในเยอรมนี, ไอร์แลนด์, อังกฤษ, ฝรั่งเศส และสิงคโปร์

• บริการใดที่อยู่ในขอบเขต

  บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้และ/หรือสนใจบริการอื่นๆ โปรดติดต่อเรา
  

• C5 กับ IT-Grundschutz แตกต่างกันอย่างไร?

  IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)

• มาตรฐานนี้มีผลกระทบในระดับสากลหรือไม่

  BSI ปรับงานนี้ให้สอดคล้องกับ ANSSI และ SecNumCloud Label ที่กำลังจะมีขึ้น มาตรฐาน C5 ได้รับอิทธิพลจากและในทางกลับกันก็มีอิทธิพลกับมาตรฐาน SecNumCloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud นอกจากนี้ European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) ฉบับร่างของ European Union Agency for Cybersecurity (ENISA) นำมาจากมาตรฐานความปลอดภัยของ C5 เป็นส่วนใหญ่
  

• ใบรับประกันและการรับรองแตกต่างกันอย่างไร

  ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการตรวจสอบการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น